Conservazione dei dati

Conservazione dati personali

Il GDPR stabilisce requisiti aggiuntivi in ​​merito alla conservazione dei dati personali rispetto alla direttiva sulla protezione dei dati. Dato che la violazione di queste disposizioni può portare all'applicazione di sanzioni considerevoli, la conservazione dei dati non è semplicemente una questione per l'IT e l'Amministrazione, ma una considerazione aziendale con un impatto finanziario potenzialmente significativo se non si opera nel modo giusto.Questo elenco di controllo illustra i problemi chiave che un'azienda deve prendere in considerazione quando implementa una politica di conservazione dei dati.

 Archivio dati

Prima di tutto, è importante avere una panoramica di dove sono memorizzati i dati personali nella vostra azienda.

Questo può includere:

  • propri server;
  • server di terze parti;
  • account email;
  • desktop;
  • dispositivo di proprietà dei dipendenti (BYOD);
  • archiviazione di backup; e / o
  • file cartacei

Periodi di conservazione generali

Generalmente i dati personali dovrebbero essere conservati solo per il tempo necessario. I periodi di conservazione possono variare in base al tipo di dati trattati, allo scopo dell'elaborazione o in base ad altri fattori. I problemi da considerare includono:

  • Se si applicano requisiti legali per la conservazione di qualsiasi dato particolare. Per esempio:
    • Diritto commerciale;
    • Diritto tributario;
    • Diritto del lavoro;
    • Legge amministrativa;
    • Regolamenti relativi ad alcune professioni, ad es. medico.
  • In assenza di requisiti legali, i dati personali possono essere conservati solo per il tempo necessario ai fini del trattamento. Ciò significa che i dati devono essere cancellati, ad es. quando:
    • l'interessato ha ritirato il consenso al trattamento;
    • il contratto è stato eseguito o non può più essere eseguito; o
    • i dati non sono più aggiornati.
  • L'interessato ha richiesto la cancellazione di dati o la limitazione dell'elaborazione?
  • La conservazione è ancora necessaria per lo scopo che lo ha generato?
  • Eccezioni possono essere applicate al trattamento per scopi storici, statistici o scientifici.

Durante il periodo di conservazione

  • Stabilire revisioni periodiche dei dati conservati.
  • Stabilire e verificare i periodi di conservazione dei dati considerando le seguenti categorie:
    • le esigenze aziendali;
    • tipo di dati personali;
    • scopo del trattamento;
    • motivi legittimi per il trattamento; e
    • categorie di soggetti di dati.
  • Se non è possibile stabilire periodi di conservazione precisi, identificare i criteri in base ai quali determinare il periodo.
  • Stabilire revisioni periodiche dei dati conservati.

Scadenza del periodo di conservazione

Dopo la scadenza del periodo di conservazione applicabile, i dati personali potrebbero non essere necessariamente essere cancellati, potrebbe essere sufficiente procedere alla loro anonimizzazione.Ciò può, ad esempio, essere ottenuto mediante:

  • cancellazione degli identificatori univoci che consentono l'assegnazione di un set di dati a una persona unica;
  • cancellazione di singole informazioni che identificano l'interessato (da sole o in combinazione con altre informazioni);
  • separazione dei dati personali da informazioni non identificative (ad esempio un numero d'ordine dal nome e dall'indirizzo del cliente); o
  • aggregazione di dati personali in modo tale che non sia possibile alcuna allocazione a nessun individuo.

In alcuni casi, non sarà necessaria alcuna azione se i dati non possono essere assegnati a una persona identificabile alla fine del periodo di conservazione, ad esempio perché:

  • il pool di dati è cresciuto così tanto che l'identificazione personale non è possibile sulla base delle informazioni conservate; o
  • i dati identificativi sono già stati cancellati.

Obblighi di informativa

Oltre agli altri obblighi di informativa, nel contesto della conservazione dei dati i soggetti devono essere informati di:

  • il periodo di conservazione;
  • se non è possibile fornire un periodo di conservazione fisso, i criteri utilizzati per determinare tale periodo; e
  • il nuovo periodo di conservazione se lo scopo del trattamento è cambiato dopo che i dati personali sono stati ottenuti.